Con la entrada en vigor del Nuevo Reglamento General de Protección de Datos en mayo de 2016 y su posterior obligación del cumplimiento de la norma en mayo de 2018 tras los dos años de adaptación que han tenido las empresas, éstas han ido tomando las medidas técnicas y organizativas que exige su cumplimiento como son el análisis de riesgos o un diseño de seguridad desde la recogida del dato pero, aún queda algunos puntos a tener en cuenta para el cumplimiento de la norma y entre ellos nos encontramos la obligación de formar correctamente a los empleados que tratan con datos personales ya que, muchas organizaciones no incluyen como riesgo al personal sin formación en protección de datos.En el caso de que la empresa contara con un Delegado de Protección de Datos, éste debería de ser el encargado de formar e informar a los empleados de cómo actuar, cómo tratar cada dato, qué precauciones deben tomar o cuál es la participación del empleado dentro de las medidas técnicas y organizativas de la empresa.
Formar a los empleados en materia de protección de datos siempre ha sido importante ya que en el día a día tratan con multitud de datos de sus clientes, usuarios, proveedores… pero con la entrada del Nuevo Reglamento General de Protección de Datos, esto se ha convertido en una obligación ya que según el Art. 47, 2n, se establece que las empresas tienen que ofrecer formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.
Es algo muy habitual trabajar con contraseñas que nunca se cambian, contraseñas compartidas, papel con datos de usuarios o clientes que se tira a la basura, accesos indiscriminados, inexistencia de copias de seguridad, documentos con información confidencial sobre la mesa…. todo esto sumado a que hoy en día, casi todo se envía por correo electrónico (facturas, presupuestos, albaranes, documentación confidencial….), hace que en cualquier momento la empresa pueda tener una brecha de seguridad.
Un ejemplo lo podemos encontrar en el uso de los USB ya que la mayoría de los empleados lo utilizan para guardar la información que necesitan para trabajar y en ocasiones esta información contiene datos personales de usuarios. No es de extrañar que varios compañeros compartan USB o incluso que lo saquen de la empresa para poder trabajar desde cualquier otro lugar. Esto puede llevar un riesgo de pérdida del USB, filtración de datos en Internet… lo que desembocaría en una brecha de seguridad por parte del empleado, quien intenta hacer su trabajo lo mejor posible.
Lo mismo podríamos decir de una copia de seguridad de datos que sale fuera de las instalaciones de la empresa pero no está cifrada y podría perderse.
Es muy importante que tanto los usuarios como los empleados sean conscientes de la importancia en el tratamiento de los datos para así poder reducir al máximo la probabilidad de que la empresa sufra una brecha de seguridad ya que, debemos recordar que, en el caso de que ocurriera, la empresa estaría obligada a notificarlo dentro del plazo máximo de 72 horas a la autoridad competente que en el caso de España, sería la Agencia Española de Protección de Datos y evitar así posibles sanciones puesto que no sólo hay que comunicarlo, sino también solucionarlo en el menor tiempo posible.
Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir por lo que, a la posible brecha de seguridad producida se sumaría la responsabilidad por no haber cumplido esta obligación.
Si la empresa no dispone de un Delegado de Protección de Datos y el responsable de tratamiento no pudiera dedicar tiempo de formación a sus empleados, desde Fersoft hemos organizado un curso de formación que se imparte por especialistas en la materia y que serán los encargados de proporcionar a los empleados de cada empresa los conocimientos necesarios para el cumplimiento y uso eficaz de las medidas de seguridad de los datos personales.
Las empresas deben de tener en cuenta que, omitir la obligación de formar a sus empleados ya sería un incumplimiento del Reglamento ya que no establece una de sus premisas como sería la protección de datos desde el diseño.